NOD32 crea parche dinámico para vulnerabilidad WMF

JaCop

ESET, fabricante de NOD32, ha publicado un parche provisorio para la vulnerabilidad WMF. Mientras tanto, Microsoft continúa recibiendo fuertes críticas por su demora en publicar el parche oficial.

La razón de que cada vez sean más quienes recomienden este tipo de solución, está en la peligrosidad del asunto, y en la gran cantidad de usuarios susceptibles al mismo.

"Muchos usuarios no se han dado cuenta del problema, y aún se quejan de la falta de funcionalidad que algunas de las medidas sugeridas en un primer momento, crean en el uso diario de su equipo", dice Jose Luis Lopez de VSAntivirus y director técnico de NOD32 Uruguay. "El tema es muy grave, y solo por milagro no han ocurrido grandes crisis en el tiempo en que esta vulnerabilidad ha sido descubierta y el día de hoy, como bien comprendimos quienes en la noche del 31 de diciembre nos enfrentamos a la aparición de un exploit modificado que en un primer momento, ningún antivirus detectó".

Sin embargo, los responsables del Centro de Respuesta de la Seguridad de Microsoft, en medio de la lluvia de críticas, han anunciado su parche para el próximo martes (10/ene/06). Tom Liston del Internet Storm Center dice: "En su visión atractiva del futuro, para Microsoft nada va a ocurrir en los próximos siete días".

Pero está ocurriendo. El mayor vector de ataque al momento actual, son las imágenes descargadas de sitios web, una lista enorme que crece cada día. Además, una herramienta capaz de crear este tipo de exploits ha sido hecha pública, y en teoría cualquier persona podría crear su malware "a medida".

"Si bien es cierto que esta herramienta no representa al momento actual una gran amenaza, porque posee algunos fallos y en realidad no funciona como debería, también es cierto que cada vez recibimos más información de sitios que utilizan el exploit para convertir las máquinas de los usuarios en zombis, por medio de troyanos que son descargados en su PC", dice Lopez. "Una de las grandes ventajas que por ahora tenemos, es que los malos no han creado un troyano totalmente nuevo para sacar provecho de este fallo, y utilizan los ya existentes, como mucho recomprimiéndolos para tratar de eludir la detección de los antivirus".

"Pero nadie, ni Microsoft, puede afirmar tan tranquilamente que nada ocurrirá hasta que el parche oficial sea publicado. Cada día que pasa, el medidor de presión aumenta, y nos podemos ver enfrentados a algo mucho más grave de lo que algunos piensan", afirma Lopez.

Por su parte, Ignacio M. Sbampato, vicepresidente de ESET para Latinoamérica comenta: "Es que, dada la gran cantidad de usuarios que navegan por Internet utilizando el sistema operativo Windows, el alcance que pueden tener los troyanos como los antes mencionados es altísimo. Esto pone en riesgo la seguridad de miles de miles de equipos y redes informáticas, y amerita una rápida respuesta y solución."

Si bien es cierto que el exploit actual, afecta directamente solo a usuarios de Windows XP y Windows Server 2003, los elementos vulnerables existen en todos los Windows, incluso los publicados antes de 1990, como afirma F-Secure. Con toda la información disponible actualmente en Internet para el que quiera buscarla, nadie puede asegurar que alguien no encuentre la forma de explotar el problema en otros Windows.

El parche original creado por Ilfak Guilfanov, un reconocido experto informático, y promocionado enfáticamente por el Internet Storm Center del Sans Institute (ver "Parche NO oficial para la vulnerabilidad WMF", http://www.vsantivirus.com/vul-wmf-parche.htm), funciona solo en Windows 2000, Windows XP de 32 y 64-bit, y en Windows Server 2003.

Estos Windows poseen la biblioteca del visor de imágenes y fax que el exploit utiliza como lanzador de su código maligno, pero el problema está en las características de la interfase gráfica de Windows (Windows Graphic Display Interface o GDI), un elemento presente en todos los Windows, desde las versiones de 16-bit.

"Lo que hace diferente al parche provisorio publicado por ESET, es que habilita la protección para este elemento, en todos los Windows actualmente instalados en millones de computadoras del mundo entero, desde el 98 al Server 2003 (aunque no funciona con las versiones de 64-bit de Windows XP)", informa Lopez. "Además, es un parche dinámico, es decir, no requiere el reinicio del equipo al ser instalado, a diferencia del parche de Guilfanov."

"Como el parche anterior, tampoco modifica o toca el código original de Windows, pero a diferencia de aquél, no utiliza solamente la clave del registro 'AppInit_DLLs' para ser cargada en el espacio de memoria de las direcciones de los procesos, de tal modo que puede funcionar no solo en XP", dice Paolo Monti, responsable de NOD32 Italia, y creador de este parche. "En lugar de ello, utiliza hooks (ganchos) dinámicos de las APIs de Windows. El parche se instala en modo silencioso, usted solo recibe un mensaje de advertencia si falla la instalación o inyección del proceso", dice Monti.

* Las principales ventajas y diferencias son:

- Funciona en Windows 98, Me, XP, 2000 y 2003

- Es completamente dinámico. No es necesario reiniciar el equipo para ejecutarlo o desinstalarlo.

- Se puede descargar de memoria con el parámetro /u

- También se puede desinstalar desde Agregar o quitar programas.

- Puede dejar de utilizarse la solución de desregistrar el componente SHIMGVW.DLL del visor de imágenes de Windows, que tan molesto es para quienes hacen uso extensivo de la visualización de imágenes en su PC.

* Descarga del parche

El parche de ESET puede ser descargado de la siguiente dirección:
http://www.nod32.it/getfile.php?tool=wmfpatch

NOTA: Si ya tiene instalado el parche de Guilfanov, debe desinstalarlo antes, desde "Agregar o quitar programas" del panel de control. También antes, debe registrar el componente SHIMGVW.DLL. Esto puede hacerse muy fácilmente con la siguiente utilidad:

http://www.videosoft.net.uy/wmf-prot.vbs

Descargue WMF-PROT.VBS en su escritorio, haga clic en él, y responda NO en la ventana con el siguiente mensaje:

"Pulse Si para desregistrar No para registrar"

Luego de ello, ejecute el parche de ESET.

Para desinstalar este parche en el momento que lo desee, o para instalar la solución de Microsoft cuando esté disponible, simplemente seleccione Inicio, Panel de Control, Agregar o quitar programas, y desinstale el programa "GDI32 - WMF Match" que aparece en el listado de programas instalados.
vsantivirus

Saludos

wanm28

hola wenasssssssss!!

gracias por la informacion ,yo de todas maneras esperare alos a los de microsoft

cule100

Muchas gracias por la información.
De todas formas tengo entendido que Microsoft DESACONSEJA parchear extraoficialmente el problema porque puede desestabilizar el sistema. Solicitaban que los usuarios esperáramos el parche oficial. Creo haberlo leído pero no recuerdo desde donde.

Saludos.

vuelve usuario s-o-f-t-o-n-i-c

Cita:

cule100 escribió:

Muchas gracias por la información.
De todas formas tengo entendido que Microsoft DESACONSEJA parchear extraoficialmente el problema porque puede desestabilizar el sistema. Solicitaban que los usuarios esperáramos el parche oficial. Creo haberlo leído pero no recuerdo desde donde.

Saludos.

hola, jejej Microsoft dice siempre muchas cosas, en este caso quizas tengan razon, pero muchas veces dicen tonterias que no tienen sentido.

sly2

para entonces kizas teneis mas de 1 problema

Kasperky

Cita:

sly2 escribió:

para entonces kizas teneis mas de 1 problema

interesante, gracias.

Tinertronic

Cita:

cule100 escribió:

De todas formas tengo entendido que Microsoft DESACONSEJA parchear extraoficialmente el problema porque puede desestabilizar el sistema.

estoy deacuerdo pero esto solo ocurre porque ya hace mas de 2 semanas desde la existencia de la dicha vulneravilidad y aun no han sacado el puto parche

si en vez de esto actuaran con mas rapidez seguro que nadie se dedicaba a hacer el trabajo que les pertenece a ellos

yo ya e puesto un parche que habia salido antes del que comentan y fue echo por un reconocido programador y digo yo no es vergonzozo que tengas que recurrir a personas que no tienen porque hacer el trabajo de otros

yo gracias a ese programador y su buena voluntad estoy mas seguro asi que desde aqui se lo agradezco pero insisto este trabajo era de los que si tienen la obligacion de aberlo sacado ya desde que

no soy amigo de criticar a microsoft al contrario en mas de una ocasion los e defendido pero esta postura que han adoptado es lamentable

saludinis

wanm28

hola wenasssssssssss!!

es cierto que es vergonzoso que tarden tanto tiempo ,en sacar las actualizaciones .................

y por supuesto es de agradecer,ala gente q desisntaresadamente a sacado el parche

de todos modos llevamos mucho tiempo con ese bug a si que aora a mi no me da mas esperar unos dias (aunque lo logico es que estas actualizaciones las sacaran rapido y no se por que oztias ai que esperar al segundo martes de cada mes)

y si quizas no aya problemas con las actualizaciones de los demas pero windox es un sitema operativo tan complejo que mejor meter sus actualizaciones

raimont

Yo he instalado ,hace algunos días, el parche de vsantivirus y no pasa nada,asi que se dejen de chorradas los microsoft.

wanm28

Cita:

raimont escribió:

Yo he instalado ,hace algunos días, el parche de vsantivirus y no pasa nada,asi que se dejen de chorradas los microsoft.

bueno ,mismamente aveces ,los mismo de microsof a sacado parches que an dado problemass ....

el tema es que saquen el parche oficial de una vez ,por que tanta demora ?¿¿¡

05 ene 2006, 11:28	#1 (permalink)
JaCop Miembro activo Registrado: febrero 2005 Ubicación: Barcelona [España] Mensajes: 238	NOD32 crea parche dinámico para vulnerabilidad WMF ESET, fabricante de NOD32, ha publicado un parche provisorio para la vulnerabilidad WMF. Mientras tanto, Microsoft continúa recibiendo fuertes críticas por su demora en publicar el parche oficial. La razón de que cada vez sean más quienes recomienden este tipo de solución, está en la peligrosidad del asunto, y en la gran cantidad de usuarios susceptibles al mismo. "Muchos usuarios no se han dado cuenta del problema, y aún se quejan de la falta de funcionalidad que algunas de las medidas sugeridas en un primer momento, crean en el uso diario de su equipo", dice Jose Luis Lopez de VSAntivirus y director técnico de NOD32 Uruguay. "El tema es muy grave, y solo por milagro no han ocurrido grandes crisis en el tiempo en que esta vulnerabilidad ha sido descubierta y el día de hoy, como bien comprendimos quienes en la noche del 31 de diciembre nos enfrentamos a la aparición de un exploit modificado que en un primer momento, ningún antivirus detectó". Sin embargo, los responsables del Centro de Respuesta de la Seguridad de Microsoft, en medio de la lluvia de críticas, han anunciado su parche para el próximo martes (10/ene/06). Tom Liston del Internet Storm Center dice: "En su visión atractiva del futuro, para Microsoft nada va a ocurrir en los próximos siete días". Pero está ocurriendo. El mayor vector de ataque al momento actual, son las imágenes descargadas de sitios web, una lista enorme que crece cada día. Además, una herramienta capaz de crear este tipo de exploits ha sido hecha pública, y en teoría cualquier persona podría crear su malware "a medida". "Si bien es cierto que esta herramienta no representa al momento actual una gran amenaza, porque posee algunos fallos y en realidad no funciona como debería, también es cierto que cada vez recibimos más información de sitios que utilizan el exploit para convertir las máquinas de los usuarios en zombis, por medio de troyanos que son descargados en su PC", dice Lopez. "Una de las grandes ventajas que por ahora tenemos, es que los malos no han creado un troyano totalmente nuevo para sacar provecho de este fallo, y utilizan los ya existentes, como mucho recomprimiéndolos para tratar de eludir la detección de los antivirus". "Pero nadie, ni Microsoft, puede afirmar tan tranquilamente que nada ocurrirá hasta que el parche oficial sea publicado. Cada día que pasa, el medidor de presión aumenta, y nos podemos ver enfrentados a algo mucho más grave de lo que algunos piensan", afirma Lopez. Por su parte, Ignacio M. Sbampato, vicepresidente de ESET para Latinoamérica comenta: "Es que, dada la gran cantidad de usuarios que navegan por Internet utilizando el sistema operativo Windows, el alcance que pueden tener los troyanos como los antes mencionados es altísimo. Esto pone en riesgo la seguridad de miles de miles de equipos y redes informáticas, y amerita una rápida respuesta y solución." Si bien es cierto que el exploit actual, afecta directamente solo a usuarios de Windows XP y Windows Server 2003, los elementos vulnerables existen en todos los Windows, incluso los publicados antes de 1990, como afirma F-Secure. Con toda la información disponible actualmente en Internet para el que quiera buscarla, nadie puede asegurar que alguien no encuentre la forma de explotar el problema en otros Windows. El parche original creado por Ilfak Guilfanov, un reconocido experto informático, y promocionado enfáticamente por el Internet Storm Center del Sans Institute (ver "Parche NO oficial para la vulnerabilidad WMF", http://www.vsantivirus.com/vul-wmf-parche.htm), funciona solo en Windows 2000, Windows XP de 32 y 64-bit, y en Windows Server 2003. Estos Windows poseen la biblioteca del visor de imágenes y fax que el exploit utiliza como lanzador de su código maligno, pero el problema está en las características de la interfase gráfica de Windows (Windows Graphic Display Interface o GDI), un elemento presente en todos los Windows, desde las versiones de 16-bit. "Lo que hace diferente al parche provisorio publicado por ESET, es que habilita la protección para este elemento, en todos los Windows actualmente instalados en millones de computadoras del mundo entero, desde el 98 al Server 2003 (aunque no funciona con las versiones de 64-bit de Windows XP)", informa Lopez. "Además, es un parche dinámico, es decir, no requiere el reinicio del equipo al ser instalado, a diferencia del parche de Guilfanov." "Como el parche anterior, tampoco modifica o toca el código original de Windows, pero a diferencia de aquél, no utiliza solamente la clave del registro 'AppInit_DLLs' para ser cargada en el espacio de memoria de las direcciones de los procesos, de tal modo que puede funcionar no solo en XP", dice Paolo Monti, responsable de NOD32 Italia, y creador de este parche. "En lugar de ello, utiliza hooks (ganchos) dinámicos de las APIs de Windows. El parche se instala en modo silencioso, usted solo recibe un mensaje de advertencia si falla la instalación o inyección del proceso", dice Monti. * Las principales ventajas y diferencias son: - Funciona en Windows 98, Me, XP, 2000 y 2003 - Es completamente dinámico. No es necesario reiniciar el equipo para ejecutarlo o desinstalarlo. - Se puede descargar de memoria con el parámetro /u - También se puede desinstalar desde Agregar o quitar programas. - Puede dejar de utilizarse la solución de desregistrar el componente SHIMGVW.DLL del visor de imágenes de Windows, que tan molesto es para quienes hacen uso extensivo de la visualización de imágenes en su PC. * Descarga del parche El parche de ESET puede ser descargado de la siguiente dirección: http://www.nod32.it/getfile.php?tool=wmfpatch NOTA: Si ya tiene instalado el parche de Guilfanov, debe desinstalarlo antes, desde "Agregar o quitar programas" del panel de control. También antes, debe registrar el componente SHIMGVW.DLL. Esto puede hacerse muy fácilmente con la siguiente utilidad: http://www.videosoft.net.uy/wmf-prot.vbs Descargue WMF-PROT.VBS en su escritorio, haga clic en él, y responda NO en la ventana con el siguiente mensaje: "Pulse Si para desregistrar No para registrar" Luego de ello, ejecute el parche de ESET. Para desinstalar este parche en el momento que lo desee, o para instalar la solución de Microsoft cuando esté disponible, simplemente seleccione Inicio, Panel de Control, Agregar o quitar programas, y desinstale el programa "GDI32 - WMF Match" que aparece en el listado de programas instalados. vsantivirus Saludos
	Aquel que pregunta es un tonto por cinco minutos, pero el que no pregunta, permanece tonto por siempre.

05 ene 2006, 11:36	#2 (permalink)
wanm28 Miembro activo Registrado: febrero 2005 Ubicación: en la tierra de los sueños"puxa asturias" Mensajes: 17.725	Re: NOD32 crea parche dinámico para vulnerabilidad WMF hola wenasssssssss!! gracias por la informacion ,yo de todas maneras esperare alos a los de microsoft
	(h5)(6)wanm(a)(h5)

05 ene 2006, 11:43	#3 (permalink)
cule100 Miembro activo Registrado: octubre 2004 Ubicación: Barcelona Mensajes: 168	Re: NOD32 crea parche dinámico para vulnerabilidad WMF Muchas gracias por la información. De todas formas tengo entendido que Microsoft DESACONSEJA parchear extraoficialmente el problema porque puede desestabilizar el sistema. Solicitaban que los usuarios esperáramos el parche oficial. Creo haberlo leído pero no recuerdo desde donde. Saludos.
	Los monos son demasiado buenos para que el hombre pueda descender de ellos. Friedrich Nietzsche Nunca igualaré tu nivel... pero permíteme intentarlo. Hasta siempre padre.

05 ene 2006, 19:09	#5 (permalink)
sly2 Miembro activo Registrado: abril 2005 Ubicación: Zaragoza Mensajes: 1.091	Re: NOD32 crea parche dinámico para vulnerabilidad WMF para entonces kizas teneis mas de 1 problema
	Hola, y tu madre k tal? SOY TIO Amo a la humanidad, lo que no soporto es a la gente 2 años en softonic

05 ene 2006, 20:57	#8 (permalink)
wanm28 Miembro activo Registrado: febrero 2005 Ubicación: en la tierra de los sueños"puxa asturias" Mensajes: 17.725	Re: NOD32 crea parche dinámico para vulnerabilidad WMF hola wenasssssssssss!! es cierto que es vergonzoso que tarden tanto tiempo ,en sacar las actualizaciones ................. y por supuesto es de agradecer,ala gente q desisntaresadamente a sacado el parche de todos modos llevamos mucho tiempo con ese bug a si que aora a mi no me da mas esperar unos dias (aunque lo logico es que estas actualizaciones las sacaran rapido y no se por que oztias ai que esperar al segundo martes de cada mes) y si quizas no aya problemas con las actualizaciones de los demas pero windox es un sitema operativo tan complejo que mejor meter sus actualizaciones
	(h5)(6)wanm(a)(h5)

NOD32 crea parche dinámico para vulnerabilidad WMF

Temas similares

Acceso a todos los temas

05 ene 2006, 21:14	#9 (permalink)
raimont Miembro activo Registrado: abril 2005 Ubicación: Burgos Mensajes: 232	Re: NOD32 crea parche dinámico para vulnerabilidad WMF Yo he instalado ,hace algunos días, el parche de vsantivirus y no pasa nada,asi que se dejen de chorradas los microsoft.

Herramientas
Versión para imprimir Enviar por correo
Estilo
Modo lineal Cambiar a modo híbrido Cambiar a modo de árbol

Tema	Iniciado por	Foro	Respuestas	Último mensaje
posicionamiento en Google	herlanz	Internet	23	20 mar 2006 19:40
Tirar faltas en el Fifa 2005	Brodie	Juegos	8	30 dic 2005 01:24
Parche para el Win	Montse_P	Vídeo	5	16 dic 2005 16:05